我有一个Web应用程序,它将身份验证密钥传递给Web服务以确保安全性。为避免Man In The Middle攻击,将根据初始身份验证请求中的IP地址检查每个请求的IP地址。但是,从使用代理服务器的计算机访问时,IP地址不一定相同。我该怎么做才能避免这个问题?
答案 0 :(得分:2)
IP地址很容易被欺骗,因此这不是一个非常有用的保护。
当试图实现协议级别的安全性时,除非不这样做的理由令人信服,否则总是使用其他人经过充分测试并推理自己的设计(并且最好是实现)。
http://en.wikipedia.org/wiki/WS-Security存在并且简单地使整个链使用https应该足以满足您的需求(只要安全性的开销不是问题)。
答案 1 :(得分:1)
我想最简单的方法是使用SSL。
如果您不能使用SSL,则可以使用XMLSigniture,这至少可以让您检测邮件是否已被更改。这是一篇关于在Java中使用它的好文章:
http://java.sun.com/developer/technicalArticles/xml/dig_signature_api/